セキュリティ
リスクマネジメント
Risk Management
概要
情報セキュリティ上のリスクを特定・分析・評価し、適切な対策を講じる管理プロセス。
詳細解説
情報セキュリティにおけるリスクマネジメントは、情報資産に対する脅威と脆弱性を特定し、リスクの大きさを分析・評価した上で、適切な対応策を決定・実施するプロセスである。
リスク対応には、リスク回避(リスクの原因を除去)、リスク低減(対策でリスクを軽減)、リスク移転(保険や外部委託でリスクを転嫁)、リスク保有(許容範囲内のリスクを受容)の4つの戦略がある。定量的リスク分析と定性的リスク分析を適切に使い分けることが重要である。
試験対策のポイント
- 暗記必須:リスクマネジメントはリスクの特定・分析・評価(リスクアセスメント)を経て対応する。リスク=資産・脅威・脆弱性の組合せで顕在化する。
- 頻出ポイント:リスク対応の4分類=回避(活動をやめる)・低減(対策で下げる)・移転(保険等で転嫁)・受容(許容範囲として受け入れる)。
- ひっかけ注意:リスク移転(保険・外部委託)とリスク回避(活動自体の中止)を混同しないこと。
事例・具体例
サーバへの不正アクセスリスクに対し、ファイアウォール導入(リスク低減)、サイバー保険加入(リスク移転)、軽微なリスクは許容(リスク保有)といった複合的な対応を行う。